Okay, grok has uploaded my entire user directory to xAI's servers. It contains my SSH keys, my password manager database, my documents, photos, videos, everything… pic.twitter.com/s8eSs9DGzF
— A Green Being (@a_green_being) July 13, 2026
社群早有警告:.env 文件也难幸免
事实上,这场隐私灾难并非个案。A Green Being 的发文是为了回应另一位知名社群成员 CyberSatoshi(@XBToshi)早先提出的安全警告。CyberSatoshi 曾发文指出,Grok Build 会在后台默默将整个专案库(Repository)、Git 历史记录,甚至是包含 API 密钥等机密资讯的 .env 隐藏文件,统统上传到 Google 云端平台(GCP),这极有可能是被用作后续的模型训练。
CyberSatoshi 当时便呼吁所有开发者,应尽快检查本机端的 Grok 日志档以确认是否有资料泄露。而面对 A Green Being 私密资料被全数「脱光」的惨况,他也无奈回应:「你比我还惨,你直接在你的家目录里跑了 Grok。」
敲响 AI 开发工具的安全警钟
这次事件凸显了当前 AI 开发工具在权限管控与资料抓取上的潜在风险。由于 AI 系统通常需要大量的上下文来理解程式码逻辑,若工具的底层设计缺乏适当的档案排除机制(如自动忽略 .gitignore 或系统隐藏文件),便极易酿成灾难级的资安漏洞。
目前,资安专家强烈建议,若开发者有使用 Grok Build 或类似的 AI 辅助工具,应绝对避免在根目录或家目录下执行。最佳的防护实践是将这些工具限制在独立的虚拟环境(Sandbox)、Docker 容器,或建立专属的受限使用者帐号中运行。此外,用户应随时透过终端机指令(如 cat ~/.grok/logs/unified.json | grep repo_state.upload)来监控异常的数据上传行为,以免个人的数字资产成为训练 AI 的免费养分。
Grok Build 遭爆偷传用户“整个家目录”上云端,开发者吓坏:所有的一切都泄露
AI 写程式工具沦为隐私吸尘器?据 X 平台多位开发者警告,马斯克(Elon Musk)旗下 xAI 的开发工具 Grok Build 爆出严重的隐私泄露疑虑。有用户发文控诉,因不慎在家目录(Home Directory)下执行该工具,导致其个人的 SSH 密钥、密码管理库、照片与影片全数被打包上传至 xAI 的服务器。
(前情提要:马斯克要特斯拉员工改用 Grok 省钱,尽管他承认 Claude Fable 更强)
(背景补充:马斯克旗下 SpaceXAI 正式推出最强模型「Grok 4.5」!携手 Cursor 猛攻 AI 编码代理,完美整合 Office 办公软件)
本文目录
Toggle
随着 AI 辅助开发工具的普及,程式码与个人隐私资料的安全界线正受到前所未有的挑战。近日,马斯克(Elon Musk)旗下 xAI 推出的开发工具 Grok Build,就在社群上引发了轩然大波。
整个家目录被打包上传
台北时间 2026 年 7 月 13 日,一位名为 A Green Being(@a_green_being)的开发者在 X 平台上发布了一张令人不寒而栗的日志(Logs)截图。他惊恐地表示:「Grok 已经把我的整个使用者目录上传到了 xAI 的服务器上。里面包含我的 SSH 密钥、密码管理员数据库、个人文件、照片、影片,所有的一切……」
根据其分享的统一日志(unified.json)截图显示,系统确实触发了大量的 repo_state.upload.start 请求,且上传路径直接指向了该用户的家目录(/home/usuario)。这意味着 Grok Build 在未经明确筛选与排除的情况下,将包含极度敏感资讯的所有本地档案,全部传送至了云端端点。
社群早有警告:.env 文件也难幸免
事实上,这场隐私灾难并非个案。A Green Being 的发文是为了回应另一位知名社群成员 CyberSatoshi(@XBToshi)早先提出的安全警告。CyberSatoshi 曾发文指出,Grok Build 会在后台默默将整个专案库(Repository)、Git 历史记录,甚至是包含 API 密钥等机密资讯的 .env 隐藏文件,统统上传到 Google 云端平台(GCP),这极有可能是被用作后续的模型训练。
CyberSatoshi 当时便呼吁所有开发者,应尽快检查本机端的 Grok 日志档以确认是否有资料泄露。而面对 A Green Being 私密资料被全数「脱光」的惨况,他也无奈回应:「你比我还惨,你直接在你的家目录里跑了 Grok。」
敲响 AI 开发工具的安全警钟
这次事件凸显了当前 AI 开发工具在权限管控与资料抓取上的潜在风险。由于 AI 系统通常需要大量的上下文来理解程式码逻辑,若工具的底层设计缺乏适当的档案排除机制(如自动忽略 .gitignore 或系统隐藏文件),便极易酿成灾难级的资安漏洞。
目前,资安专家强烈建议,若开发者有使用 Grok Build 或类似的 AI 辅助工具,应绝对避免在根目录或家目录下执行。最佳的防护实践是将这些工具限制在独立的虚拟环境(Sandbox)、Docker 容器,或建立专属的受限使用者帐号中运行。此外,用户应随时透过终端机指令(如 cat ~/.grok/logs/unified.json | grep repo_state.upload)来监控异常的数据上传行为,以免个人的数字资产成为训练 AI 的免费养分。